Help Center
background
Login
  1. SmartHR Help Center
  2. Employee User Guide
  3. Login
  4. パスワード
  5. パスワードポリシーに関するよくある質問
This page has not been translated yet.

パスワードポリシーに関するよくある質問

Readership:
For AdministratorsFor Employees
Applicable plans:
Simple HRHR Essentials0 YenTalent ManagementHR Strategy

パスワードポリシーに関するよくある質問を紹介します。

Q. SmartHRのパスワードポリシーは、どのような基準で定めていますか?

A. NIST(米国政府の基準)および内閣官房 内閣サイバーセキュリティセンター(NISC) の基準を参考に、セキュリティ面と利便性とのバランスを加味して定めています

各基準との比較は下記のとおりです。

 NIST SP800-63B内閣サイバーセキュリティセンター(NISC)SmartHR
(2022年2月16日以降)
最小文字数ユーザー設定の場合は8文字
ランダム生成の場合は6文字(全て数字も可)
ログインパスワード(Webサービス等に使うもの)の場合、10文字以上
暗号キー(パスワード付きのファイルや記憶媒体に使うもの)の場合、15文字以上
10文字以上
最大文字数64文字以上-72文字
文字の種類制限をするべきではない
(システムはスペースを含む全てのASCII印字可能文
字、Unicode文字を許容するべき)
英大小文字+数字+記号26種で合計88種制限なし
パスワードの有効期限定期変更を要求するべきではない
事故などがあった場合は変更を強制する
基本的にパスワードの定期変更の必要はない
パスワードが流出したらすぐに変更する
有効期限なし
パスワードの定期的な変更は不要
パスワード連続変更禁止期間---
過去に使用したパスワードの禁止---
禁止パスワード・過去に漏洩したリストにあるもの
・辞書に含まれる言葉
・繰り返しや連続した文字(aaaaa, 1234abcd)
・サービス名、ユーザー名、それらの派生など
パスワードの使い回しや、似たパスワード、個人情報などから推測できるパスワード
を使わない
外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したことが確認されているパスワードを禁止パスワードとして設定
アカウントロックまでの失敗数100回以下
ロックする前にCAPTCHAを表示したり、遅延時間を入
れても良い
-パスワードを間違った場合、10回でロックする
(5回以上間違った場合「あと何回でロック」というメッセージあり)
アカウントロックの期間---
参考資料NIST Special Publication 800-63B Digital Identity Guidelines(翻訳版) Authentication and Lifecycle Management(2017)|NISTインターネットの安全・安心ハンドブック(2021年12月31日 Ver.4.20)| 内閣官房 内閣サイバーセキュリティセンター(NISC)-

Q. パスワードの有効期限について、「有効期限なし。パスワードの定期的な変更は不要」としているのはなぜですか?

A. 下記の記事を参照してください

「定期的なパスワード変更」の歴史とは? 安心してSmartHRを使うためのTipsもご紹介|SmartHR Mag.

Q.禁止パスワード(ブロックリスト)はどのように設定されていますか?

A. 外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したと確認されているパスワードを禁止パスワード(ブロックリスト)として設定しています

Was this helpful?